Marcello Casal Jr./Agência Brasil - 4/11/2020
BC poderia fazer alterações no Pix para dificultar o uso 'das brechas' nos sistemas de segurança das instituições. Marcello Casal Jr./Agência Brasil - 4/11/2020

Imediatismo de pagamentos instantâneos é desafio à segurança em todo mundo

Sistemas similares ao Pix já estão presentes em cerca de 60 países, como China, Índia, EUA, Reino Unido e México; especialistas chamam atenção para as brechas de segurança e a necessidade de adaptar as medidas de prevenção de vazamentos

Thaís Barcellos, O Estado de S.Paulo

08 de fevereiro de 2022 | 16h53

BRASÍLIA - Os sistemas de pagamentos instantâneos como o Pix já estão presentes em cerca de 60 países e representam um desafio a mais em termos de segurança justamente pelo imediatismo das transações. Os modelos, contudo, diferem entre si em diversos aspectos, trazendo preocupações também variadas em cada iniciativa.

Esse ponto já foi levantado, inclusive, pelo Federal Reserve (Fed, banco central dos EUA), que prevê lançar um sistema parecido com o Pix em 2023, o FedNow. Hoje, os sistemas de pagamentos instantâneos nos EUA são privados.

O Fed reconheceu as dificuldades “únicas” no combate à fraude em pagamentos instantâneos por serem “imediatos e irrevogáveis”, e defendeu que as medidas de prevenção devem ser ajustadas de acordo com as características de cada sistema de pagamentos instantâneos.

No Brasil, onde os vazamentos de dados vinculados a chaves Pix estão no centro do debate, especialistas fazem repetidas defesas sobre a robustez dos mecanismos de segurança do Banco Central, mas avaliam que as peculiaridades da ferramenta também trazem seus próprios desafios, inclusive de segurança.

Um dos desafios deve-se justamente à liquidação imediata das operações. Segundo levantamento do Banco de Compensações Internacionais (BIS) com 31 modelos de sistemas de pagamentos rápidos ou instantâneos (FSP, na sigla em inglês), 19 têm liquidação em tempo real e outros 12, diferida.

A pesquisa também mostra que a maioria dos sistemas de pagamentos instantâneos tem um limite financeiro para as transações, embora varie bastante – de US$ 400 por operação no México a US$ 300 mil no Reino Unido. Aqui, o BC só estabeleceu limites para o período noturno, após aumento de crimes, como sequestros relâmpagos, envolvendo a ferramenta. O BIS ainda afirma que, na minoria das iniciativas, o Banco Central atua tanto como regulador e operador direto do sistema, como é o caso do Brasil.

Segundo Rodrigoh Henriques, líder de inovações financeiras da Federação Nacional de Associações dos Servidores do Banco Central, a configuração exata do Pix não existe em nenhum lugar, já que sistemas financeiros são muito particulares aos seus próprios países.

“Essas camadas tecnológicas que nunca enxergamos garantem velocidade, confiança, autenticação ao sistema, mas todas as configurações abrem mais ou menos brechas. No nosso sistema, descobrimos que a brecha acabou ficando com as instituições financeiras, na requisição que tem que fazer ao BC [para seguir com a operação]."

Henriques destaca que o Brasil deve ser o terceiro maior país em transações instantâneas (o número supera 1 bilhão por mês), atrás da Índia e da China, e com uma das adoções mais rápidas da história – o que atrai inevitavelmente “malfeitores”. Segundo o BC, no primeiro ano, o volume de operações per capita foi maior do que iniciativas similares no mesmo período.

“Relativamente ao volume de transações, a brecha ainda é de vulnerabilidade conciliável. De novo, não estamos falando de brechas no sistema central do BC ou de transações não autorizadas [e sim de compartilhamento de dados cadastrais]. Não é minimizar o que está acontecendo, mas contextualizar.”

Como tudo indica que os criminosos estão se aproveitando de falhas de segurança das instituições financeiras para "sequestrar" a parte do sistema que faz a comunicação com o BC no Diretório de Identificadores de Contas Transacionais (DICT), base de dados com informações dos usuários recebedores do Pix, Henriques vê duas soluções possíveis.

A primeira seria a revisão do padrão de segurança de instituições financeiras, em especial em relação ao Pix. Mas não é um processo rápido. A depender de sua avaliação, o BC poderia promover mudanças no desenho do Pix para dificultar o uso “das brechas” nos sistemas de segurança das instituições.  Isso poderia, contudo, “atrasar” os pagamentos ou torná-los mais custosos.

“Se o BC tivesse que fazer a validação dupla [recebendo a requisição do cliente e do banco], talvez não tivéssemos pagamentos em 10 segundos. Talvez em 30, 60, 90 segundos. E aí você começa a se perguntar se é instantâneo. Alguns países fazem isso. Dizem que a transação ocorreu, mas a liquidação só acontecerá à noite.”

Sanções

Citando iniciativas bem-sucedidas na Índia, China, EUA e Reino Unido, Ricardo Tavares, diretor da empresa de segurança cibernética Gemina, afirma que o peso das sanções para vazamentos de dados também pode ser uma diferença entre o Brasil e outras jurisdições. “Aqui no Brasil, não houve multas rígidas com relação à LGPD [Lei Geral de Proteção de Dados].”

Vitoria Bernardi, diretora Jurídica da consultoria britânica Russell Bedford Brasil, avalia que, em termos de regras, a LGPD brasileira é "praticamente irmã" da Regulamentação Geral de Proteção de Dados (GDPR, na sigla em inglês), a lei europeia pioneira em privacidade de dados pessoais, enquanto a norma americana é mais branda.  A multa máxima na lei brasileira é de R$ 50 milhões, e, na europeia, de 20 milhões de euros. Bernardi avalia, contudo, que há diferença de maturidade das legislações.

Na Europa, já foram aplicadas cerca de mil multas relativas à Regulamentação Geral de Proteção de Dados (GDPR, na sigla em inglês), somando mais de 1,5 bilhão de euros. Já no Brasil, são cerca de 80 processos públicos ligados à LGPD ou a outras legislações que mencionam o tema, segundo levantamento da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).

"A União Europeia foi pioneira com a GDPR e o entendimento de que a privacidade de dados está dentro da área dos direitos humanos. Ela que está forçando outros países a se adaptar a isso. O Brasil se viu nessa situação de criar a LGPD principalmente pelo interesse de participar da OCDE. Vejo o Brasil correndo atrás para se atualizar.”

Segundo Bernardi, a Autoridade Nacional de Proteção de Dados (ANPD) ainda está se estruturando, portanto em uma fase mais de educação e regulamentação, não tanto de fiscalização. A LGPD foi sancionada em 2018, mas as sanções só entraram em vigor em agosto de 2021, mesmo mês em que ocorreram os primeiros vazamentos no âmbito do Pix.

Encontrou algum erro? Entre em contato

Gratuidade do Pix não pode ser justificativa para falta de segurança, diz diretora da ANPD

Banco Central divulgou três episódios de vazamento de informações em seis meses, envolvendo 576,7 mil chaves Pix; Nairane Rabelo Leitão fala em medidas de segurança adicionais

Thaís Barcellos, O Estado de S.Paulo

08 de fevereiro de 2022 | 16h53

BRASÍLIA - Os casos de vazamento de informações envolvendo o Pix, sistema de pagamento instantâneo criado pelo Banco Central, estão na mira e preocupam a Autoridade Nacional de Proteção de Dados (ANPD), especialmente diante da popularização do serviço. "Gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação", diz Nairane Rabelo Leitão, diretora do órgão responsável por zelar pela proteção de dados pessoais no País.

O Banco Central divulgou três episódios de vazamento de informações em seis meses, envolvendo, no total, 576.785 chaves Pix, considerando os incidentes no Banco do Estado de Sergipe (Banese), na Acesso Soluções de Pagamento e na Logbank Soluções em Pagamento.

Segundo a diretora da ANPD, já foram abertos processos no órgão para analisar os casos, e sanções podem ser aplicadas ao Banco Central e às instituições financeiras, com base na Lei Geral de Proteção de Dados (LGPD).

O BC, em todos os episódios, afirmou que as causas foram falhas pontuais nos sistemas das instituições financeiras. A autoridade monetária ainda admite que novos incidentes podem ocorrer se os participantes do Pix não adotarem as medidas previstas em seu regulamento. 

Além disso, o BC argumenta que os vazamentos ocorridos têm baixo impacto por só envolver dados cadastrais (nome, CPF, instituição de relacionamento, número da agência e da conta) e não informações sensíveis ou sigilosas, que permitiriam, por exemplo, a movimentação de recursos nas contas das pessoas afetadas. 

Mas Nairane afirma que essa relação não necessariamente é verdadeira e que é preciso uma apuração dentro do órgão para avaliar o impacto. Na lei, dados sensíveis são aqueles que podem gerar discriminação, como origem racial, convicção religiosa e opções políticas. 

Dentre as sanções aplicáveis em casos de vazamento de dados, a LGPD determina advertência, multas (somente para pessoas jurídicas de direito privado), publicidade da infração depois de confirmada ocorrência, além de bloqueio e eliminação de dados pessoais a que se refere a infração. Após ser aplicada ao menos uma dessas sanções, para o mesmo caso concreto, ainda é possível determinar a suspensão da atividade de tratamento de dados a que se refere a infração ou proibição total ou parcial da atividade. 

Leia abaixo os principais trechos da entrevista:

A ANPD foi avisada sobre os vazamentos envolvendo o Pix? Já há algum processo aberto? Se sim, quem poderia ser afetado por sanções: as instituições financeiras ou o Banco Central também?

Sim. A ANPD foi comunicada oficialmente. Existem processos abertos para tratar desses casos e podem levar a sanções, seja para o Banco Central ou as instituições financeiras envolvidas.

Há prazo para a apuração? Quais seriam as sanções aplicáveis?

Não há prazo. A sanção pode ser qualquer uma das aplicáveis elencadas no art. 52 da LGPD, com exceção da multa pecuniária caso a penalidade seja aplicada ao Banco Central, já que o inciso II somente se aplica a pessoas jurídicas de direito privado.

A recorrência de incidentes de segurança no Pix é preocupante?

Sim, especialmente porque o Pix vem sendo cada vez mais utilizado pelos cidadãos brasileiros, por ser um serviço instantâneo e gratuito. Entretanto, gratuidade do serviço não pode servir de justificativa para a falta de segurança da informação. A LGPD assegura os direitos dos titulares e estabelece um conjunto de obrigações que devem ser cumpridas pelas instituições financeiras e pelo Banco Central. No momento, nossas coordenações de Fiscalização e Tecnologia e Pesquisa estão avaliando as medidas adotadas de segurança ou de mitigação do impacto do incidente sobre os titulares bem como a necessidade de medidas adicionais.

Ao divulgar os casos, o BC tem dito que o impacto é baixo sobre os afetados, pois não são dados sensíveis. O que a LGDP diz sobre isso?

LGPD protege todos os dados, apesar de conferir uma proteção maior aos dados sensíveis. E na LGPD não há uma relação estabelecida entre dados não sensíveis e baixo impacto. Isso não é necessariamente verdadeiro. No momento, não podemos responder se esse caso seria de alto ou baixo impacto, já que ainda está sendo analisado pela nossa Coordenação Geral de Fiscalização e pela Coordenação Geral de Tecnologia e Pesquisa.

A ANPD está em contato com o BC sobre os casos? A ANPD avalia que são necessários aprimoramentos no regulamento do Pix para evitar casos desse tipo?

Sim e também com as demais instituições financeiras envolvidas. A avaliação sobre aprimoramentos e eventuais recomendações poderão ocorrer após as análises da Coordenação de Fiscalização e da Coordenação Geral de Tecnologia e Pesquisa.

Encontrou algum erro? Entre em contato

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.